ex-transfer Posted March 27, 2009 Posted March 27, 2009 Доброго времени суток! Мы небольшая интернет-компания одного города в сибирском регионе. Имеем достаточно много оптики по городу. До недавнего времени были только юрлица. В центре стоит 3845, а от него расходятся L2 коммутаторы по узлам. Банально Влан на абонента. Много ADSL клиентов, по PPPoE. Полгода назад начали активно подключать жилые дома. В основном - это тот же РРРоЕ и редко VPN (PPTP) На данный момент имеем около 1000 пользователей. Трафик собираем по нетфлов, на интерфейсах Rate-Limit. Загрузка процессора начинает подходить к 80% (у нас не такие огромные и толстые каналы как в столице и рядом с ней). Особенно плохо сказывается на загрузке CPU дань безлимитам физлицам. L3-коммутатора в ядре нет. Собственно в связи с этим, и не только (опишу чуть ниже) встала необходимость купить нечто мощнее и на будущее. Сейчас вводим 802.1х для физлиц. Вытекающие проблемы: ограничение IP+mac внутри влана, нарезка скорости для каждого IP из большой подсети независимо (как я ни крутил свою 3845, не нашёл решения), ну и самое главное - это скоростная маршрутизация трафика между вланами. На сегодняшний день стоят проблемы перед выбором новой циски: 1) ограничение скорости при испольщовании 802.1х по-пользовательски (что-то в духе UBRL) 2) возможность PPTP 3) маршрутизация VLAN на 3-м уровне 4) ограничение IP+(возможно) MAC внутри VLAN 6) ограничение скорости на VLAN 7) поддержка Netflow 8) поддержка болшого количества одновременно работающих вланов (наша 2960 ну очень скромна). По бюджету: 1-3 млн.р. Что посоветуете, уважаемые гуру? Вставить ник Quote
UglyAdmin Posted March 27, 2009 Posted March 27, 2009 Сейчас вводим 802.1х для физлиц. Вы не находите, что это абсолютно не нужно при Банально Влан на абонента. Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п. Вставить ник Quote
ugluck Posted March 27, 2009 Posted March 27, 2009 dot1x если и юзать, то на свиче доступа, никак не на ядре Вставить ник Quote
ex-transfer Posted March 27, 2009 Author Posted March 27, 2009 Сейчас вводим 802.1х для физлиц.Вы не находите, что это абсолютно не нужно при Банально Влан на абонента.Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п. На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.Вланы не бесконечны. И в силу структуры нашей сети влан на абонента (для физика) недопустимо. 802.1х перспективная вещь По сабжу есть мысли? и от PPTP нам ну никак не отказаться. т.к. многие клиенты у нас проключены через чужие сети. dot1x если и юзать, то на свиче доступа, никак не на ядрену так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как Вставить ник Quote
UglyAdmin Posted March 27, 2009 Posted March 27, 2009 На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.Вланы не бесконечны. Вот уже более 30К физиков, и все "вилан на юзера". Что я делаю не так? :)Совершенно необязательно сводить всех юзеров в одну мега-железку. Более того, это зачастую вредно - представьте, что она сдохла... Поставьте рядом ещё одну 3845, а лучше 7201 и сводите их туда. Кончится - поставите ещё одну... Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности... Можно посмотреть б/у шеститонники от НАГа, но их надо готовить уметь... Вставить ник Quote
Alexandr Ovcharenko Posted March 27, 2009 Posted March 27, 2009 dot1x если и юзать, то на свиче доступа, никак не на ядрену так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как Скорость удобно резать там, где терминируется выход абонента в инет. Классика - на брасе (там где у Вас pptp раздается). Для 802.1х удобнее было бы резать скорость прямо на порту доступа, но тогда юзер получит ущербную внутрисеть :) . Если это не приемлемо - тогда на бордере. Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа? UglyAdmin разумную вещь предлагает... Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности... Ууугууу :) +1 Вставить ник Quote
ugluck Posted March 27, 2009 Posted March 27, 2009 ... а на ядре нужно скорости резать по-пользовательски. Непонятно только какможет, копнуть тогда в сторону dot1x-атрибутов и попытаться резать тоже прям на свиче? а если на ядре, то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard Вставить ник Quote
Stak Posted March 27, 2009 Posted March 27, 2009 то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard+1Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа?+10 Вставить ник Quote
awef Posted March 27, 2009 Posted March 27, 2009 как вариант заменить на узлах 2960 на 3750G ну а на ядро 72хх с G1/G2 как упрется в производительность то следующую ставить Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.